目前市場上×××產品很多,而且技術各異,就比如傳統的 IPSec ××× 來講, SSL 能讓公司實現更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶採納 SSL ××× 作爲遠程安全接入技術,主要看重的是其接入控制功能。
SSL ××× 提供增強的遠程安全接入功能。 IPSec ××× 通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶 PC 就如同物理地處於企業 LAN 中。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下。 SSL ××× 提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問,這就安全多了。 SSL ××× 能對加密隧道進行細分,從而使得終端用戶能夠同時接入 Internet 和訪問內部企業網資源,也就是說它具備可控功能。另外, SSL ××× 還能細化接入控制功能,易於將不同訪問權限賦予不同用戶,實現伸縮性訪問;這種精確的接入控制功能對遠程接入 IPSec ××× 來說幾乎是不可能實現的。
SSL ××× 基本上不受接入位置限制,可以從衆多 Internet 接入設備、任何遠程位置訪問網絡資源。 SSL ××× 通信基於標準 TCP/UDP 協議傳輸,因而能遍歷所有 NAT 設備、基於代理的防火牆和狀態檢測防火牆。這使得用戶能夠從任何地方接入,無論是處於其他公司網絡中基於代理的防火牆之後,或是寬帶連接中。 IPSec ××× 在稍複雜的網絡結構中難於實現,因爲它很難實現防火牆和 NAT 遍歷,無力解決 IP 地址衝突。另外, SSL ××× 能實現從可管理企業設備或非管理設備接入,如家用 PC 或公共 Internet 接入場所,而 IPSec ××× 客戶端只能從可管理或固定設備接入。隨着遠程接入需求的不斷增長,遠程接入 IPSec ××× 在訪問控制方面受到極大挑戰,而且管理和運行支撐成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入, SSL ××× 要理想得多。
SSL ××× 不需要複雜的客戶端支撐,這就易於安裝和配置,明顯降低成本。 IPSec ××× 需要在遠程終端用戶一方安裝特定設備,以建立安全隧道,而且很多情況下在外部(或非企業控制)設備中建立隧道相當困難。另外,這類複雜的客戶端難於升級,對新用戶來說面臨的麻煩可能更多,如系統運行支撐問題、時間開銷問題、管理問題等。 IPSec 解決方案初始成本較低,但運行支撐成本高。如今,已有 SSL 開發商能提供網絡層支持,進行網絡應用訪問,就如同遠程機器處於 LAN 中一樣;同時提供應用層接入,進行 Web 應用和許多客戶端 / 服務器應用訪問。
asa ssl*** config
瞭解了上述基本因素之後,下面我們將開始實驗:
第一步,ASA的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# web***
Archasa(config-web***)# enable outside
Archasa(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.2 .169.pkg
Archasa(config-web***)# svc enable
#上述配置是在外網口上啓動WEB×××,並同時啓動SSL ×××功能
2、SSL ×××配置準備工作
#創建SSL ×××用戶地址池
Archasa(config)# ip local pool ssl-user 10.10.10 .1-10.10.10.50
#配置SSL ×××數據流不做NAT翻譯
Archasa(config)# access-list go-*** permit ip 172.20.50.0 255.255.255.0 10.10.10 .0
255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-***
3、WEB ×××隧道組與策略組的配置
#創建名爲myssl***-group-policy的組策略
Archasa(config)# group-policy myssl***-group-policy internal
Archasa(config)# group-policy myssl***-group-policy attributes
Archasa(config-group-policy)# ***-tunnel-protocol web***
Archasa(config-group-policy)# web***
#在組策略中啓用SSL ×××
Archasa(config-group-web***)# svc enable
Archasa(config-group-web***)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#創建SSL ×××用戶
Archasa(config-web***)# username test password woaicisco
#把myssl***-group-plicy策略賦予用戶test
Archasa(config)# username test attributes
Archasa(config-username)# ***-group-policy myssl***-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group myssl***-group type web***
Archasa(config)# tunnel-group myssl***-group general-attributes
#使用用戶地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group myssl***-group web***-attributes
Archasa(config-tunnel-web***)# group-alias group2 enable
Archasa(config-tunnel-web***)# exit
Archasa(config)# web***
Archasa(config-web***)# tunnel-group-list enable
4、配置SSL ×××隧道分離
#注意,SSL ×××隧道分離是可選取的,可根據實際需求來做。
#這裏的源地址是ASA的INSIDE地址,目標地址始終是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1 .0 255.255.255.0 any
Archasa(config)# group-policy myssl***-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整個配置就完成了,下面可以進行測試:
這時系統會彈出要求安裝SSL ××× CLIENT程序,單擊“YES”,系統自動安裝並連接SSL×××,在SSL×××連通之後在您的右下角的任務欄上會出現一個小鑰匙狀,你可以雙擊打開查看其狀態。
草率此就,有不對的地方請予以指正,謝謝!
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章